Guamón
Ahora, usar la versión descifrada de Heirloom 51 generará un proceso de sistema winlogon con un proceso WINLOGON.EXE normal. El nombre de usuario es "SYSTEM" y el nombre del programa es winlogon.exe en minúsculas.
El nombre de usuario del troyano disfrazado de este proceso es el nombre de usuario actual del sistema y el nombre del programa es WINLOGON.exe en letras mayúsculas.
Ver el proceso mediante ctrl alt del y luego seleccionar el proceso. En circunstancias normales, solo existe un proceso winlogon.exe y su nombre de usuario es "SISTEMA". Si hay dos winlogon.exe y uno de ellos está en mayúscula y el nombre de usuario es el usuario actual del sistema, entonces puede haber un caballo de Troya.
Este troyano es tan poderoso que puede destruir el troyano Nemesis y dejarlo incapaz de funcionar correctamente. Actualmente no se puede encontrar utilizando otro software antivirus.
WINLOGON.EXE en WINDOWS es realmente un virus, pero ella es sólo un pequeño papel en este virus. Abramos la unidad D y veamos si hay un archivo de paginación de DOS y un archivo autorun.inf. Jaja, por supuesto que está escondido. Eliminar estos archivos es inútil ya que están asociados a muchas cosas, incluso en modo seguro, siempre que ejecutes cualquier programa. O haga doble clic para abrir la unidad D y se reinstalará. Jaja, a muchas personas les han robado sus reliquias familiares debido a este crack y el software antivirus no puede detectarlas. Algunas personas llaman a este virus "Luo Xue", un caballo de Troya dedicado a robar el mundo legendario. En cuanto a si robará otras cuentas como QQ, la banca en línea depende de su felicidad. Jaja, supongo que lo grabaremos juntos. Si no le temes a las drogas y quieres reducir las pérdidas, salvo algunas tareas comunes en las que confías, lo mejor es activar el firewall para evitar que salgas. Por supuesto, será mejor que hagas una copia de seguridad lo antes posible y luego cierres la puerta y mates el virus.
Incluyendo 51pywg Heirloom modificado por Fang Xin y todos los demás complementos que descifraron, el más sospechoso esta vez es 51PYWG. En cuanto a otros sitios web cooperativos, se estima que no escaparán del desastre, especialmente el sitio web de Fang Xin, que se ha confirmado que ha sido pirateado muchas veces. Aunque explicó que fue hackeado, no pudo descartar otras posibilidades. Preste especial atención a los complementos que se conectan al sitio web después del inicio. No se descarta que el propio lanzador sea venenoso. En resumen, este tipo de software de craqueo que se conecta a sitios web es el más fácil de colocar virus. En cuanto a cuándo y cómo lanzarlo, por ejemplo, si quieres ver lo genial que es, intenta usar una versión de verificación descifrada completamente local. Aunque parece que la alianza vinculada no se ha enterado si fue publicada por ella misma o no, hay que tener cuidado. Recientemente, muchas personas en Legend World han sido pirateadas y los objetivos son estos sitios web. El siguiente es un método para eliminar el recientemente particularmente venenoso virus hacker WINLOGON.EXE. Tenga en cuenta que este WINLOGON.EXE falso se encuentra en WINDOWS y el proceso se muestra como el usuario o administrador actual. El winlogon.exe de otro sistema es normal, no lo elimines al azar. Por favor lea claramente. El primero está en mayúscula y el último en minúscula, y algunos internautas han confirmado que el destino de conexión de este archivo es Henan.
Solución al virus "Luoxue"
Síntoma: Al hacer doble clic en la unidad D no se puede abrir. Hay archivos autorun.inf y pagefile.com dentro.
¡La persona que creó este virus es demasiado poderosa y no se puede resolver en modo seguro como un administrador! Después de una tarde de duro trabajo, finalmente logramos solucionarlo.
No utilicé ningún software para detectar troyanos. Simplemente los saqué manualmente uno por uno y los eliminé. Los archivos asociados con él son los siguientes, la mayoría de los cuales se muestran como archivos del sistema y están ocultos.
Por lo tanto, es necesario abrir y mostrar archivos ocultos en las opciones de carpeta.
Solo hay dos unidades D. No puedes hacer doble clic para abrir la unidad D. ¡Hay más en la unidad C!
D:\autorun.inf
D:\pagefile.com
c:\Program Files\Internet Explorer\ie xplore.com
c:\Archivos de programa\Archivos comunes\ie xplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe (no sé si es el nombre, el ícono rojo tiene el ícono del mundo legendario).
C:\Windows\Debug\**Programas. Exe (también el ícono de arriba, el nombre se ha olvidado -_- genial, obviamente no está oculto).
c:\Windows\system32\command.com
No lo elimine fácilmente, vea si es diferente de la fecha a continuación pero igual que otros archivos. Si, como la mayoría de los demás archivos, no se puede eliminar. Por supuesto, los archivos del sistema definitivamente no son de este período.
c:\Windows\system32\msconfig.com
c:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag. es
c:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a .exe
Por cierto, fíjate en las fechas de estos archivos para ver si hay archivos con la misma hora o archivos con terminaciones sospechosas. Ven a otro lado. Tenga cuidado de no ejecutar ningún programa ni iniciarlo nuevamente, incluido hacer doble clic en el disco.
¡También hay un documento número 1! WINLOGON.EXE! ¡Todo esto para matarla! ! !
C:\Windows\WINLOGON. La extensión del programa ejecutable
Puedes ver esto en el proceso. Hay dos, uno es verdadero y el otro es falso.
Realmente es winlogon.exe en minúsculas (no sé si el tuyo lo es) y el nombre de usuario es SISTEMA.
El falso es WINLOGON.EXE en letras mayúsculas, y el nombre de usuario es tu propio nombre de usuario.
Este archivo no se puede detener durante el proceso. ¡Es cierto que el proceso clave no se puede detener! ¡Permanecerá en su proceso incluso en modo seguro!
Eso es todo lo que sé ahora. Si no confía en mí, será mejor que mire la fecha de modificación de uno de los archivos y luego use "Buscar" para buscar archivos modificados ese día. Definitivamente muchos archivos aparecerán al mismo tiempo, ¡incluso en la carpeta de restauración del sistema! !
Los archivos quedarán asociados consigo mismos.
Si elimina una sección, ejecuta una accidentalmente o ejecuta msconfig, comando o regedit durante el inicio, ¡todos estos archivos los completa usted mismo!
Después de conocer estos archivos, primero cierre todos los programas que se puedan cerrar, abra el Explorador de WINDOWS en el archivo adjunto del programa y configure las opciones de visualización en la carpeta para mostrar todos los archivos y carpetas en la herramienta anterior Cancelar. Oculte los archivos protegidos del sistema operativo, luego abra el menú Inicio, ingrese el comando regedit, ingrese al registro, ingrese HKEY_LOCAL_MACHINE\SOFTWARE\En Microsoft\WINDOWS\current version\run, hay un programa Torjan, que obviamente es "Soy un Caballo de Troya" ",eliminar! !
¡Entonces cierra sesión! Después de volver a ingresar al sistema, abra el "Administrador de tareas" para ver si rundll32 está presente. Si es así, detente primero. No sé si esto es cierto o no, así que ten cuidado.
Vaya a la unidad d (¡tenga cuidado de no hacer doble clic para ingresar! De lo contrario, el virus se activará nuevamente. Haga clic derecho y seleccione "Abrir" para eliminar autorun.inf y pagefile.com, luego vaya para conducir c y eliminar todos los archivos enumerados anteriormente. ¡Tenga cuidado de no hacer doble clic en uno de los archivos, de lo contrario tendrá que repetir todos los pasos!
Durante mi lucha, después de eliminar esos archivos, ¡ninguno! de los archivos exe se pueden abrir o ejecutar cmd.
Luego, vaya a C:\Windows\system32, copie el archivo cmd.exe al escritorio y cámbiele el nombre a cmd.com
Haré lo mismo en el archivo .com y luego haré doble clic en el archivo COM para ingresar al símbolo del sistema en DOS
Luego escribiré el siguiente comando:
Assoc. exe = exefile(Assoc y. Hay un espacio entre. Exe)
ftype exefile="1" *
Para que el archivo exe se pueda ejecutar si no puede ejecutar el comando. Abra CMD.COM y copie las dos líneas anteriores, péguelas dos veces.
Pero después de terminar esto, la entrada del usuario será un poco lenta cuando inicie y aparecerá un cuadro de advertencia que dice. que no se puede encontrar el archivo "1" (debería ser 1 en el archivo Windows. .com) y, finalmente, utilice Internet Assistant y otro software para reparar completamente la configuración de IE.
Finalmente, cómo solucionarlo. el problema de no poder encontrar el archivo "1.com" al iniciar:
En Ejecute "regedit" en el programa en ejecución y abra el registro en [HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Versión\Winlogon]
Cambiar "Shell"="explorer.exe 1. "Restaurar a "Shell" = "explorer .exe".
¡Ya está! ¡Todos!